一、幾個概念

 

　　1、什么是審計：信息系統(tǒng)審計來源于傳統(tǒng)的財務審計，因此審計是獨立于被審計單位的機構(gòu)和人員，對被審計單位的財政、財務收支及其有關的經(jīng)濟活動的真實、合法和效益進行檢查、評價、公證的一種監(jiān)督活動。

 

　　2、什么是信息系統(tǒng)審計：信息系統(tǒng)審計又叫IT審計，也稱IT監(jiān)查，是獨立于信息系統(tǒng)本身、信息系統(tǒng)相關開發(fā)、使用人員的第三方-IT審計師采用客觀的標準對信息系統(tǒng)的策劃、開發(fā)、使用維護等相關活動和產(chǎn)物進行完整地、有效地檢查和評估。

 

　　3、什么是數(shù)據(jù)庫：數(shù)據(jù)庫（Database）是按照數(shù)據(jù)結(jié)構(gòu)來組織、存儲和管理數(shù)據(jù)的倉庫。一般是由數(shù)據(jù)庫管理軟件來實現(xiàn)的，比如常見的數(shù)據(jù)庫管理軟件有Oracle、MySQL、Microsoft SQL Sever、DB2、Sybase等。

 

　　4、什么是數(shù)據(jù)庫審計：數(shù)據(jù)庫審計至今并沒有一個非常標準公開的定義，通常我們可以理解為針對數(shù)據(jù)庫所執(zhí)行的為達到審計目標的一系列檢查、分析和測試活動。

 

　　二、數(shù)據(jù)庫審計的目的

 

　　從大的方面講，現(xiàn)在數(shù)據(jù)庫審計的目的主要有兩個，一個目的是合規(guī)，第二個目的是避免或減少風險。

 

　　出于合規(guī)目的的審計，比如需要滿足薩班斯要求的海外上市公司，每年都要隨著信息系統(tǒng)審計一起對數(shù)據(jù)庫執(zhí)行審計。并為財務出具證實其財務數(shù)據(jù)是真實準確的報告，并附在財務審計報告中。另外在香港上市的公司也會有相關要求，對信息系統(tǒng)中的數(shù)據(jù)進行驗證。

 

　　第二種就是出于自身避免或減少風險的目的執(zhí)行審計。常見的風險主要來自于以下幾個方面：第一個就是如數(shù)據(jù)的不真實、不準確、不一致等等，我們可以稱之為數(shù)據(jù)風險，它對財務數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、業(yè)務數(shù)據(jù)等的真實性、準確性產(chǎn)生影響，最終影響企業(yè)的聲譽和經(jīng)營決策。第二種就是數(shù)據(jù)庫本身的中斷、死機、中病毒等，我們可以稱之為數(shù)據(jù)庫風險，它對業(yè)務、生產(chǎn)效率產(chǎn)生影響。第三種是利用數(shù)據(jù)庫的權(quán)限職責執(zhí)行舞弊、違規(guī)等操作，給企業(yè)帶來某些財務損失的影響，我們稱為違規(guī)風險，比如法國興業(yè)銀行倒閉案，就是交易員隱瞞了對交易數(shù)據(jù)的操作引發(fā)，與第一種目的不同之處，在于這種合規(guī)還包括了對公司規(guī)定的合規(guī)。通過實施數(shù)據(jù)庫審計可以提前發(fā)現(xiàn)上述風險并采取必要的措施，將損失降低到最小或者避免損失發(fā)生。

 

　　比較常見的信息系統(tǒng)審計，是基于數(shù)據(jù)安全需要的審計，涵蓋在基于風險的審計當中。

 

　　現(xiàn)在也有客戶提出了一些比較新的審計需求，比如數(shù)據(jù)一致性審計、數(shù)據(jù)有效性審計等。

 

　　三、數(shù)據(jù)庫審計方法

 

　　針對審計目的的不同，有多種審計方法可以使用：

 

　　日志分析：通過分析數(shù)據(jù)庫系統(tǒng)業(yè)務數(shù)據(jù)交易、操作日志，可以發(fā)現(xiàn)違規(guī)風險；通過分析數(shù)據(jù)庫系統(tǒng)自身的系統(tǒng)日志、事件日志、巡檢日志可以提前發(fā)現(xiàn)病毒、黑客攻擊、系統(tǒng)故障等數(shù)據(jù)庫風險。

 

　　風險分析：風險分析是比較通用、廣泛的一種分析方法，涵蓋了日志分析方法。主要是通過一套風險分析理論方法，比較全面的分析數(shù)據(jù)庫管理、技術方面存在哪些風險，并針對與這些風險進行審計。

 

　　數(shù)據(jù)核對：也叫數(shù)據(jù)驗證，主要是針對數(shù)據(jù)風險而言的，采用的方法也比較多，如重新計算、倒推法、比對法、程序分析、重新執(zhí)行等，這是比較耗時、耗力的方法。比較少的單位采取這種方法，但是這是非常有價值的方法。因為數(shù)據(jù)庫最終是為數(shù)據(jù)服務的，數(shù)據(jù)不準、有問題只有兩種情況下才能知道，驗算之后或者使用過程中。

 

　　數(shù)據(jù)流分析：該分析方法通過利用數(shù)據(jù)的數(shù)據(jù)的生命周期，從數(shù)據(jù)的需求分析、創(chuàng)建、審批、變更、權(quán)限分配、更新、刪除、流轉(zhuǎn)等，分析數(shù)據(jù)存在的風險，驗證數(shù)據(jù)控制措施的有效。

 

　　測試：通過設置關鍵測試點，驗證數(shù)據(jù)庫對數(shù)據(jù)的管理過程是否有效，是否得到必要的控制。常見的測試方法有有效性測試、實質(zhì)性測試、穿行測試等。

 

　　數(shù)據(jù)庫審計的方法很多，也有很多是借鑒了其它專業(yè)的方法，同時這些方法之間有些也有重疊的內(nèi)容。具體的審計方法要根據(jù)具體的審計需求確定。

 

　　四、審計工具

 

　　除了我們可以采用手工的方法執(zhí)行數(shù)據(jù)庫審計外，我們也可以借助一些工具提高審計效率。

 

　　市面上常見的數(shù)據(jù)庫審計工具都是針對與數(shù)據(jù)操作行為、數(shù)據(jù)庫管理行為、安全的審計工具，主要的品牌有漢邦、復旦光華、國都興業(yè)、三零鷹眼、帕拉迪、啟明星辰、綠盟、思福迪、網(wǎng)御神州等。這些產(chǎn)品主要功能有：

 

　　· 支持Ms SQL、Oracle、DB2、Sybase、MySQL等主流的數(shù)據(jù)庫管理系統(tǒng)；

 

　　· 支持對標準SQL語句的審計；

 

　　· 可以審計登陸的用戶、源IP、目的IP，更深入的可以記錄用戶的操作等；

 

　　· 支持語句和內(nèi)容的還原；

 

　　· 支持數(shù)據(jù)庫流量的統(tǒng)計、超限報警等功能；

 

　　· 可以根據(jù)預定規(guī)則阻斷SQL語句的數(shù)據(jù)墻功能；

 

　　· 安裝方式有橋接、旁路、網(wǎng)關模式，有些可以安裝主機代理（Agent），實現(xiàn)對主機數(shù)據(jù)的審計；

 

　　· 都具備直觀、簡潔的報表生成功能。

 

　　通過上述的功能描述，我們不難看出，這些工具只實現(xiàn)了數(shù)據(jù)庫審計的部分功能，而像ACL、IDEA等這樣專業(yè)的財務審計工具又無法滿足信息系統(tǒng)審計的需要，因此很長一段時間是需要財務審計工具、數(shù)據(jù)庫審計工具和手工審計才能完成一個比較全面數(shù)據(jù)庫審計項目。

 

　　五、小結(jié)

 

　　數(shù)據(jù)庫審計對于審計行業(yè)來說，還是比較新的審計需求，而且不同的廠家、不同的事務所、不同的客戶對數(shù)據(jù)庫審計的認知也是多種多樣，存在一定的分歧，無論如何，至少客戶開始認識到數(shù)據(jù)庫審計的價值了，這是一個非常好的現(xiàn)象。